Nie skorzystasz z promocji, jeśli nie prześlesz do Play skanu swego dowodu

Jeśli nosicie się z zamiarem skorzystania z promocyjnej oferty w sieci Play, to nie zdziwcie się, gdy operator poprosi Was o przesłanie skanu dowodu. Zwykłym e-mailem, niezabezpieczonym w żaden sposób. Można tak?

Zwróciliśmy w ubiegłym miesiącu uwagę na fakt, że T-Mobile prosi abonentów o przesyłanie haseł otwartym tekstem. Zapytaliśmy przy okazji o inne nieprawidłowości związane z przetwarzaniem danych, z którymi zdarzyło się Wam zetknąć. Otrzymaliśmy sporo ciekawych sygnałów – niektóre postanowiliśmy zbadać od razu, inne odłożyliśmy na później do redakcyjnej szuflady. Dzisiaj opowiemy Wam o praktykach stosowanych przez P4, operatora sieci Play.

Jeden z naszych Czytelników chciał podpisać nową umowę z przeniesieniem numerów od obecnego operatora. „Z grubsza przeczytałem regulaminy, szukając jakichś dziwnych zapisów, nic nie znalazłem, więc zamówienie złożyłem” – napisał w e-mailu do redakcji. Play go poinformował, że w celu weryfikacji tożsamości musi przesłać na podany adres skan obu stron dowodu osobistego. „Żadnych zabezpieczeń (plik ZIP z hasłem etc.), praktycznie czysty plain text” – zmartwił się Czytelnik i zadzwonił na infolinię, aby to wyjaśnić. Tam usłyszał, że jeśli nie chce przesłać skanu e-mailem, to może… przekazać operatorowi ksero dowodu za pośrednictwem kuriera.

Do podpisania umowy nie doszło. Czytelnik anulował zamówienie, powołując się przy tym na artykuł pt. „Firmy telekomunikacyjne nie mają prawa kopiować dowodów osobistych” zamieszczony na stronie Generalnego Inspektora Ochrony Danych Osobowych. Okazało się bowiem, że GIODO przeprowadzał kontrole u wybranych przedsiębiorców, ustalając, czy pozyskują oni kserokopie, fotokopie lub skany dokumentów potwierdzających tożsamość klientów. Gdy okazało się, że tak, zakwestionował tę praktykę i nakazał usunięcie uchybień. Stanowisko GIODO zostało następnie potwierdzone wyrokami Wojewódzkiego Sądu Administracyjnego w Warszawie (sygn. akt II SA/Wa 1655/15 oraz 779/16).

Play ma inne zdanie

Play odniósł się do wspomnianego wyżej artykułu w e-mailu do Czytelnika. Warto ten fragment zacytować: „Decyzje i wyroki sądowe przywołane w stanowisku GIODO dotyczą podmiotów z branży telekomunikacyjnej, jednak podmiotem tych decyzji i wyroków nie jest P4 sp. z o.o. Z uwagi na fakt, że w Polsce nie obowiązuje precedensowy system prawny, decyzja lub wyrok, której stroną jest konkretny podmiot, dotyczy wyłącznie tego podmiotu i nie obejmuje swoim zakresem innych podmiotów znajdujących się w analogicznej sytuacji prawnej”.

Ciekawa argumentacja, nieprawdaż? Jeśli myślicie, że jest to opinia szeregowego pracownika Obsługi Klienta, to niestety jesteście w błędzie. Jak zwykle w budzących wątpliwości sytuacjach, nawiązaliśmy kontakt z firmą, której dotyczy problem. Ewa Sankowska-Sieniek z Biura Prasowego Play potwierdziła, że jest to oficjalne stanowisko operatora.

W naszym zapytaniu zwróciliśmy także uwagę na zasadę adekwatności, którą niedawno omawialiśmy na naszych łamach. W skrócie chodzi o to, aby gromadzone przez administratora dane były adekwatne w stosunku do celów, w jakich są przetwarzane (wymaga tego art. 26 ust. 1 pkt. 3 Ustawy o ochronie danych osobowych). Przedstawicielka Play odpisała: „Uważamy, że nie naruszamy zasady adekwatności – zresztą w odpowiedzi, którą otrzymał od nas klient, przedstawiamy szczegółowo naszą argumentację, zarówno jeśli chodzi o kwestie formalne, jak i biznesowe”. Wróćmy więc do odpowiedzi, którą Play wysłał do naszego Czytelnika:

Zgodnie z zasadą swobody zawierania umów abonent może zawrzeć umowę o określonej treści na wskazanych w niej warunkach. W przypadku zawierania umów na warunkach promocyjnych są one kredytowane przez P4 (subsydia na urządzenia, rabaty na abonament, bezpłatne pakiety). P4, udzielając kredytu, ma prawo wyboru sposobu jego zabezpieczenia, np. poprzez określenie wymaganego, szerszego niż określony w art. 161 ust. 2 Prawa telekomunikacyjnego, zakresu danych niezbędnych do zawarcia umowy i realizacji umowy.

Podstawą pozyskiwania przez P4 danych zawartych w dokumencie tożsamości abonenta jest art. 161 ust. 3 Prawa telekomunikacyjnego, zgodnie z którym „Oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych”.

P4 w regulaminach ofert promocyjnych określa, że warunkiem skorzystania z takiej oferty jest udzielenie zgody na utrwalenie obrazu dokumentu tożsamości. Jeśli abonent nie chce tego zrobić, może zawrzeć umowę w ramach oferty podstawowej (cennikowej), co zdaniem P4 w żadnym stopniu nie ogranicza uprawnień abonenta.

„Rozumiem, że operator chce się «zabezpieczyć» w przypadku ofert promocyjnych, ale wydaje mi się, że fakt konieczności wysłania otwartym kanałem skanu dowodu jest sporo na wyrost” – zauważył w e-mailu do redakcji Czytelnik.

Okiem eksperta

O przyjrzenie się zaistniałej sytuacji poprosiliśmy kogoś, kto naukowo i zawodowo zajmuje się ochroną danych osobowych. Komentarza udzielił nam Piotr Siemieniak, doktorant WPiA UG, właściciel firmy upsecure.pl.

Chcąc uniknąć nieprzyjemności, Play będzie musiał zmienić swoje praktyki i wygląda na to, że już się do tego przymierza. W odpowiedzi na nasze zapytanie przedstawicielka Play napisała: „Rozważamy wprowadzenie nowego rozwiązania, które będzie wypadkową dwóch – bardzo istotnych z perspektywy klienta czynników – z jednej strony bezpieczeństwa, a z drugiej wygody i prostoty procesu”. Na pewno będziemy w tej kwestii trzymać rękę na pulsie. Zachęcamy też do przesyłania na nasz adres kolejnych przykładów niefrasobliwego podejścia firm do ochrony danych osobowych.

źródło: 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *